El martes, Mozilla lanzó actualizaciones de seguridad para abordar una vulnerabilidad crítica Zero Day en Firefox y Thunderbird. Esta vulnerabilidad había sido aprovechada activamente en entornos reales; fue anunciada un día después de que Google publicara una solución para una vulnerabilidad similar en su navegador Chrome.
La vulnerabilidad, identificada como CVE-2023-4863, de nivel 9.8, crítico, se relaciona con un «desbordamiento de búfer» en el formato de imagen WebP y podría permitir la ejecución de código malicioso al procesar una imagen especialmente diseñada.
Mozilla advirtió que «abrir una imagen WebP maliciosa podría causar un desbordamiento de búfer en el proceso de contenido» y que eran conscientes de que este problema ya se estaba explotando en otros productos en el entorno real.
Según la descripción de la Base de datos nacional de vulnerabilidades (NVD), esta falla podría permitir a un atacante remoto escribir en memoria fuera de los límites mediante una página HTML manipulada.
Aunque no se han revelado los pormenores exactos de cómo se están utilizando estas vulnerabilidades, existe la sospecha de que están siendo empleadas para dirigir ataques contra individuos con un alto nivel de vulnerabilidad, como activistas, opositores y miembros del ámbito periodístico.
Productos Afectados
Producto | Versiones afectadas | Solución |
FireFox | 117.0 y anteriores | Versión 117.0.1 o posterior. |
Firefox ESR | 115.2.0 y anteriores | Versión 115.1 o posterior. |
Firefox ESR | 102.15.0 y anteriores | Versión 102.15.0 o posterior. |
Thunderbird | 102.15.0 y anteriores | Versión 102.15.1 o posterior. |
Thunderbird | 115.2.1 y anteriores | Versión 115.2.2 o posterior. |
Recomendacion
Actualizar sus navegadores a la última versión lo antes posible, Ser precavidos al abrir imágenes WebP de fuentes que no sean de confianza y utilizar una solución de seguridad que pueda detectar y bloquear imágenes WebP maliciosas.
Referencias